AWS Solutions Architect Professional (SAP-C02) 실전 모의고사 75문제

A) 각 계정에 IAM 정책을 개별적으로 적용한다 B) AWS Organizations SCP를 OU 수준에서 적용하여 서비스 사용을 제한한다 C) IAM 권한 경계를 각 계정의 모든 역할에 적용한다 D) CloudFormation 스택셋으로 제한 정책을 각 계정에 배포한다

정답: B

설명: SCP(서비스 제어 정책)를 Organizations의 OU(조직 단위) 수준에서 적용하면 해당 OU 하위의 모든 계정에 일괄 적용됩니다. 예를 들어 개발 OU에는 특정 리전만 허용하고, 프로덕션 OU에는 추가 서비스를 허용하는 계층적 구조를 만들 수 있습니다. IAM 정책은 계정 내 사용자/역할 수준이고 SCP는 계정 수준에서 작동합니다.

A) 예방적 가드레일은 비용 제한이고, 감지적 가드레일은 보안 제한이다 B) 예방적 가드레일은 SCP를 통해 비준수 작업을 차단하고, 감지적 가드레일은 AWS Config를 통해 비준수 상태를 탐지한다 C) 예방적 가드레일은 IAM 정책 기반이고, 감지적 가드레일은 CloudTrail 기반이다 D) 예방적 가드레일은 필수이고, 감지적 가드레일은 선택적이다

정답: B

설명: Control Tower의 예방적 가드레일(Preventive Guardrails)은 SCP를 사용하여 비준수 작업 자체를 차단합니다(예: 특정 리전 외 리소스 생성 금지). 감지적 가드레일(Detective Guardrails)은 AWS Config 규칙을 사용하여 비준수 상태를 감지하고 알림을 보냅니다(예: MFA 없는 루트 계정 사용 감지).

A) 두 회사의 VPC를 피어링한다 B) 회사 B가 생성한 서비스 엔드포인트에 대한 인터페이스 VPC 엔드포인트를 생성한다 C) Transit Gateway를 사용하여 두 회사의 네트워크를 연결한다 D) VPN 터널을 통해 두 회사의 VPC를 연결한다

정답: B

설명: AWS PrivateLink를 통해 공급자(회사 B)가 자신의 VPC에서 NLB를 통해 서비스를 노출하면, 소비자(회사 A)는 자신의 VPC에 인터페이스 VPC 엔드포인트를 생성하여 프라이빗으로 접근할 수 있습니다. VPC CIDR 겹침 문제가 없고, 트래픽이 AWS 네트워크 내에서만 이동합니다.

A) 각 AWS 계정에 SAML 2.0 IdP를 개별 구성한다 B) IAM Identity Center(AWS SSO)를 AWS Managed Microsoft AD 또는 AD Connector와 통합한다 C) 각 계정에 IAM 사용자를 생성하고 Active Directory 비밀번호와 동기화한다 D) AWS Cognito를 IdP로 사용하여 모든 계정에 연동한다

정답: B

설명: IAM Identity Center(구 AWS SSO)는 AWS Organizations와 통합되어 중앙에서 여러 계정에 대한 SSO를 제공합니다. AWS Managed Microsoft AD(완전 관리형) 또는 AD Connector(기존 온프레미스 AD 연결)를 통해 회사 AD 자격 증명을 사용할 수 있습니다. 권한 세트(Permission Sets)로 계정별 접근 권한을 중앙 관리합니다.

A) 각 계정의 데이터가 자동으로 다른 계정에서 접근 가능해진다 B) 모든 계정의 사용량이 합산되어 볼륨 할인 및 RI/Savings Plans 혜택이 공유된다 C) 모든 계정이 자동으로 동일한 IAM 정책을 공유한다 D) 각 계정의 리소스가 자동으로 다른 리전에 복제된다

정답: B

설명: 통합 결제의 주요 이점은 모든 계정의 사용량이 합산되어 AWS 볼륨 할인(예: S3, 데이터 전송)이 최대화되고, 한 계정에서 구매한 RI나 Savings Plans가 동일 조직의 다른 계정에서도 자동으로 할인이 적용됩니다. 결제는 관리 계정으로 통합됩니다.

A) Simple AD — 경량 LDAP 호환 디렉터리 B) AWS Managed Microsoft AD — AWS에서 완전 관리형 AD C) AD Connector — 온프레미스 AD로의 프록시 역할 D) IAM Identity Center — 내장 디렉터리 사용

정답: C

설명: AD Connector는 온프레미스 Active Directory로 인증 요청을 프록시하는 게이트웨이입니다. AWS 서비스(Amazon WorkSpaces, Amazon QuickSight 등)가 기존 온프레미스 AD 자격 증명으로 인증되어야 하고 AD를 AWS로 마이그레이션하지 않을 때 적합합니다.

A) 기존 온프레미스 서버를 AWS로 자동 마이그레이션한다 B) 표준화된 AWS 계정을 자동으로 생성하고 가드레일 및 기본 구성을 자동 적용한다 C) 모든 계정의 비용을 실시간으로 모니터링하고 자동 최적화한다 D) 여러 계정에 CloudFormation 스택을 병렬로 배포한다

정답: B

설명: Control Tower의 Account Factory는 새 AWS 계정을 표준화된 방식으로 생성하는 자동화 도구입니다. Service Catalog를 통해 셀프 서비스로 계정을 프로비저닝하고, 자동으로 올바른 OU에 배치하고, 가드레일을 적용하고, 네트워크 기본 구성을 설정합니다.

A) AWS Config 규칙을 각 계정에 배포한다 B) AWS Firewall Manager를 Organizations와 통합하여 방화벽 정책을 중앙 관리한다 C) Transit Gateway 라우팅 테이블로 트래픽을 중앙 검사 VPC로 라우팅한다 D) Security Hub에서 모든 계정의 방화벽 규칙을 통합 관리한다

정답: B

설명: AWS Firewall Manager는 AWS Organizations와 통합되어 여러 계정 및 리소스에 걸쳐 WAF 규칙, AWS Shield Advanced 보호, VPC 보안 그룹, AWS Network Firewall 정책, Route 53 Resolver DNS Firewall 규칙을 중앙에서 관리합니다.

A) 각 계정에 동일한 AMI를 복사한다 B) AWS RAM(Resource Access Manager)을 사용하여 AMI를 조직 내 계정과 공유한다 C) AMI를 퍼블릭으로 설정하고 계정 태그로 접근을 제한한다 D) S3에 AMI를 내보내고 IAM 정책으로 접근을 제한한다

정답: B

설명: AWS Resource Access Manager(RAM)를 사용하면 AMI, 서브넷, Transit Gateway, License Manager 구성 등을 AWS Organizations의 다른 계정이나 특정 계정과 안전하게 공유할 수 있습니다. 공유 AMI는 퍼블릭으로 노출되지 않으면서 여러 계정에서 사용 가능합니다.

A) 단일 계정에서 IAM 그룹으로 부서를 분리한다 B) 각 부서를 별도 OU에 배치하고, SCP로 계정 간 리소스 접근을 제한하고, IAM 권한 경계로 부서 관리자가 자신의 권한 범위 내에서만 역할을 생성하도록 제한한다 C) AWS Cognito를 사용하여 부서별 사용자 풀을 생성한다 D) VPC 피어링을 사용하여 부서별 리소스를 격리한다

정답: B

설명: 이 시나리오는 다층 접근 제어가 필요합니다. OU + SCP는 계정 수준에서 교차 계정 접근을 제한하고, IAM 권한 경계는 부서 관리자가 새 역할/사용자를 생성할 때 특정 범위의 권한만 부여할 수 있도록 제한합니다. 이 두 가지를 결합하면 위임된 관리자 패턴이 완성됩니다.

A) Direct Connect는 퍼블릭 인터넷을 사용하고, VPN은 전용 회선을 사용한다 B) Direct Connect는 전용 물리적 연결로 일관된 네트워크 성능을 제공하고, VPN은 인터넷 기반으로 더 빠르게 설정 가능하다 C) Direct Connect는 무료이고, VPN은 유료다 D) Direct Connect는 IPv6만 지원하고, VPN은 IPv4만 지원한다

정답: B

설명: AWS Direct Connect는 온프레미스와 AWS 간의 전용 사설 네트워크 연결을 제공합니다. 일관된 대역폭, 낮은 지연 시간, 인터넷 우회로 인한 보안 향상이 특징입니다. Site-to-Site VPN은 인터넷을 통한 암호화 터널로 더 빠르게 설정(분~시간)되지만 인터넷 품질에 따라 성능이 달라집니다. DR 백업용으로 Direct Connect + VPN 조합을 사용하기도 합니다.

A) 서비스 간 동기 REST API 호출 B) Amazon SQS를 통한 메시지 큐잉과 Amazon SNS를 통한 팬아웃 패턴 C) 모든 서비스를 단일 EC2 인스턴스에 배포 D) RDS를 공유 데이터베이스로 모든 서비스가 직접 접근

정답: B

설명: SQS + SNS 조합은 느슨한 결합(Loose Coupling)을 구현합니다. SNS 토픽으로 이벤트를 발행하고, 여러 SQS 큐가 구독하면 팬아웃 패턴이 구현됩니다. 한 소비자 서비스가 다운되어도 메시지는 SQS에 보존되고, 다른 서비스는 영향받지 않습니다.

A) 최대 트래픽을 처리할 수 있는 고정 크기의 서버 클러스터 B) Auto Scaling 그룹 + CloudFront + ElastiCache + Aurora Serverless를 결합한 서버리스 우선 아키텍처 C) 단일 대형 EC2 인스턴스(스케일 업) D) 온프레미스 서버와 AWS를 항상 연결된 하이브리드 구성

정답: B

설명: 100배 트래픽 급증에는 다계층 확장성이 필요합니다. CloudFront(정적 콘텐츠 캐시), ElastiCache(DB 쿼리 캐시), Auto Scaling(EC2 자동 확장), Aurora Serverless v2(DB 자동 확장)를 조합하면 트래픽에 비례한 비용으로 고가용성을 달성할 수 있습니다.

A) S3 + Redshift + IAM 정책 B) S3 + AWS Glue 데이터 카탈로그 + Amazon Athena + AWS Lake Formation C) S3 + RDS + SQL 접근 제어 D) S3 + EMR + Apache Hive 메타스토어

정답: B

설명: AWS Lake Formation은 데이터 레이크의 중앙 권한 제어를 제공합니다. Glue Data Catalog는 S3 데이터의 스키마를 관리하고, Athena는 S3 데이터에 서버리스 SQL 쿼리를 제공합니다. Lake Formation의 열 수준, 행 수준 보안으로 세밀한 접근 제어가 가능합니다.

A) 단일 리전에 모든 게임 서버 배포 B) Amazon GameLift를 사용하여 멀티 리전에 게임 서버를 배포하고 Global Accelerator로 라우팅 C) CloudFront를 사용하여 게임 데이터를 캐시 D) Route 53 지연 시간 기반 라우팅만 사용

정답: B

설명: Amazon GameLift는 게임 서버 호스팅 전용 관리형 서비스로 자동 확장, 매치메이킹, 플레이어 세션 관리를 제공합니다. Global Accelerator의 애니캐스트 IP와 AWS 글로벌 네트워크를 통해 플레이어를 가장 가까운 게임 서버로 라우팅하여 지연 시간을 최소화합니다.

A) Lambda 함수의 메모리를 최대로 증가시킨다 B) Amazon RDS Proxy를 사용하여 연결 풀링을 관리한다 C) Lambda 함수를 VPC 외부에서 실행하고 퍼블릭 RDS 엔드포인트를 사용한다 D) Lambda 동시 실행 수를 1로 제한한다

정답: B

설명: Lambda는 요청마다 새로운 RDS 연결을 생성하여 연결 풀이 고갈될 수 있습니다. Amazon RDS Proxy는 Lambda와 RDS 사이에서 연결 풀링을 관리하여 RDS 연결 수를 줄이고 데이터베이스의 스케일링을 개선합니다. IAM 인증 및 Secrets Manager와도 통합됩니다.

A) CloudTrail 로그를 EC2 인스턴스의 로컬 스토리지에 저장한다 B) CloudTrail을 S3(S3 Object Lock + MFA Delete)에 저장하고 Athena로 쿼리 가능하게 한다 C) 모든 API 호출을 DynamoDB에 저장하고 TTL로 만료 설정한다 D) CloudWatch Logs에 저장하고 IAM으로 접근을 제한한다

정답: B

설명: CloudTrail 로그를 S3에 저장하고 S3 Object Lock(WORM: Write Once Read Many)을 활성화하면 로그를 변경하거나 삭제할 수 없습니다. MFA Delete는 추가 보호 계층을 제공합니다. CloudTrail + S3 + Athena 조합으로 규정 준수 팀이 SQL로 감사 로그를 쿼리할 수 있습니다.

A) 단일 AZ RDS MySQL B) Amazon Aurora Multi-Master (쓰기 다중화) C) Amazon Aurora Global Database — 리전 내 Multi-AZ, 글로벌 읽기 복제 D) RDS Multi-AZ + 읽기 전용 복제본

정답: C

설명: Aurora Global Database는 하나의 기본 리전(쓰기)과 최대 5개의 보조 리전(읽기)으로 구성됩니다. 리전 내에서는 Multi-AZ로 자동 장애 조치(30초 이내)가 이루어지고, 리전 장애 시 보조 리전으로 1분 이내에 승격됩니다. 99.99% SLA를 충족하고 글로벌 읽기 스케일링을 제공합니다.

A) 모놀리식 전체를 한 번에 마이크로서비스로 재작성 B) Strangler Fig 패턴 — API 게이트웨이로 트래픽을 라우팅하여 점진적으로 기능을 이전 C) 데이터베이스를 먼저 마이크로서비스화한 후 애플리케이션을 분리 D) 블루/그린 배포로 모놀리식과 마이크로서비스를 병렬 운영

정답: B

설명: Strangler Fig 패턴은 모놀리식 앞에 API 게이트웨이나 로드 밸런서를 두고, 새 기능은 마이크로서비스로 개발하여 게이트웨이에서 라우팅합니다. 기존 기능은 점진적으로 마이크로서비스로 이전하여 리스크 없이 전환할 수 있습니다.

A) 모든 데이터를 RDS에 저장하고 EC2에서 배치 처리 B) Amazon Kinesis Data Streams → Lambda(실시간 이상 감지) + Kinesis Data Firehose → S3(장기 보관) C) SQS로 데이터를 버퍼링하고 EC2 배치로 처리 D) API Gateway → DynamoDB로 저장하고 매일 S3로 내보내기

정답: B

설명: 고처리량 스트리밍 데이터에는 Kinesis 아키텍처가 적합합니다. Kinesis Data Streams는 초당 수백만 건의 레코드를 수집하고, Lambda가 각 레코드를 실시간으로 처리하여 이상 징후를 감지합니다. Kinesis Data Firehose는 S3로 자동 배치하여 장기 보관 및 분석을 지원합니다.

A) 각 리전에 독립적인 RDS Multi-AZ 배포 B) Amazon Aurora Global Database 또는 DynamoDB Global Tables를 사용하여 멀티 리전 데이터 동기화 C) S3 교차 리전 복제로 모든 데이터를 동기화 D) Route 53으로 트래픽을 라우팅하고 데이터는 단일 리전에서만 관리

정답: B

설명: Active-Active 멀티 리전 아키텍처에서 데이터베이스는 Aurora Global Database(관계형) 또는 DynamoDB Global Tables(NoSQL)를 사용합니다. 두 서비스 모두 여러 리전에서 읽기/쓰기를 지원하며, 리전 간 복제 지연 시간이 1초 미만입니다. DynamoDB Global Tables는 Eventual Consistency 모델을 사용합니다.

A) S3 멀티파트 업로드로 네트워크를 통해 직접 전송 B) AWS Snowball Edge Storage Optimized 어플라이언스를 사용하여 물리적으로 데이터를 전송 C) Direct Connect 연결을 임시로 증설하여 전송 D) 데이터를 압축하여 일반 인터넷으로 전송

정답: B

설명: AWS Snowball Edge는 페타바이트급 데이터를 물리적으로 AWS로 전송하는 서비스입니다. 네트워크 전송보다 훨씬 빠르고(테라바이트 기준 며칠 vs 수개월), 전송 중 데이터는 암호화됩니다. Snowball Edge Storage Optimized는 80TB, Snowball Edge Compute Optimized는 42TB 스토리지를 제공합니다.

A) ACM 프라이빗 CA는 퍼블릭 인증서를 발급하고, 일반 ACM은 프라이빗 인증서를 발급한다 B) ACM은 퍼블릭 도메인 인증서를 무료로 발급하고, ACM 프라이빗 CA는 내부 도메인용 프라이빗 인증서 발급 계층 구조를 관리한다 C) 두 서비스는 동일하지만 용량 제한이 다르다 D) ACM 프라이빗 CA는 Route 53과만 통합된다

정답: B

설명: ACM은 퍼블릭 CA(Amazon Trust Services)에서 무료로 SSL/TLS 인증서를 발급하여 ELB, CloudFront, API Gateway에 배포합니다. ACM Private CA는 자체 CA 계층 구조를 관리하여 내부 서비스, IoT 디바이스, 온프레미스 서버용 프라이빗 인증서를 발급합니다(시간당 요금 발생).

A) AWS Cost Calculator로 예상 비용만 계산한다 B) AWS Application Discovery Service를 사용하여 온프레미스 서버의 구성 및 성능 데이터를 수집한다 C) CloudFormation 템플릿을 미리 작성하여 마이그레이션을 계획한다 D) 수동으로 서버 목록을 스프레드시트에 정리한다

정답: B

설명: AWS Application Discovery Service는 에이전트 기반(상세 OS 정보) 또는 에이전트리스(VMware vCenter 통합) 방식으로 온프레미스 서버의 구성, 성능, 네트워크 종속성을 자동으로 수집합니다. 수집된 데이터는 AWS Migration Hub로 전송되어 마이그레이션 계획을 지원합니다.

A) 전체 데이터베이스를 주기적으로 스냅샷하여 동기화 B) 소스 DB의 변경 사항(INSERT, UPDATE, DELETE)을 실시간으로 타겟 DB에 반영 C) 소스 DB를 완전히 중단한 후 타겟 DB로 일괄 전송 D) 스토리지 레벨에서 블록 단위로 데이터를 복제

정답: B

설명: CDC는 소스 데이터베이스의 트랜잭션 로그를 읽어 INSERT, UPDATE, DELETE 변경 사항을 실시간으로 타겟 데이터베이스에 적용합니다. 이를 통해 마이그레이션 중에도 소스 DB가 계속 운영되고, 전환(Cutover) 시점에만 최소한의 다운타임이 발생합니다.

A) EC2 인스턴스에 VMware를 직접 설치한다 B) VMware Cloud on AWS를 사용한다 C) AWS Outposts로 VMware 워크로드를 온프레미스에서 실행한다 D) Amazon VirtualBox를 사용한다

정답: B

설명: VMware Cloud on AWS(VMC on AWS)는 VMware SDDC(소프트웨어 정의 데이터센터) 스택을 AWS 전용 베어메탈 서버에서 실행합니다. 기존 VMware 도구(vCenter, vSphere, NSX-T), 프로세스, 기술을 그대로 사용하면서 AWS 서비스와 통합할 수 있습니다. 마이그레이션 7R 중 "Relocate"에 해당합니다.

A) Oracle 라이선스를 PostgreSQL 라이선스로 자동 전환한다 B) Oracle 데이터베이스 스키마, 뷰, 저장 프로시저, 함수를 PostgreSQL 호환 코드로 변환한다 C) 데이터를 Oracle에서 PostgreSQL로 실시간 복제한다 D) Oracle 쿼리를 PostgreSQL 쿼리로 실시간 번역한다

정답: B

설명: AWS Schema Conversion Tool(SCT)은 소스 데이터베이스 스키마를 분석하고 타겟 데이터베이스에 맞게 변환합니다. Oracle의 스키마, 뷰, 저장 프로시저, 함수를 PostgreSQL(또는 Aurora PostgreSQL) 호환 코드로 변환하고, 자동 변환이 어려운 부분은 수동 변환이 필요한 항목으로 표시합니다. SCT(스키마 변환) + DMS(데이터 마이그레이션)가 일반적인 이기종 마이그레이션 패턴입니다.

A) 자동으로 온프레미스 서버를 AWS EC2로 변환한다 B) 여러 AWS 마이그레이션 도구의 진행 상황을 중앙에서 추적한다 C) 마이그레이션 후 비용을 자동으로 최적화한다 D) 마이그레이션 중 네트워크 대역폭을 자동으로 조절한다

정답: B

설명: AWS Migration Hub는 AWS Server Migration Service(SMS), Database Migration Service(DMS), Application Discovery Service 등 다양한 마이그레이션 도구의 진행 상황을 단일 대시보드에서 추적합니다. 개별 애플리케이션 또는 서버 그룹의 마이그레이션 상태를 시각화합니다.

A) 온프레미스 MySQL을 EC2의 MySQL로 그대로 이전 (Lift-and-Shift) B) 자체 관리 MySQL을 Amazon RDS MySQL로 이전하여 관리 부담을 줄임 C) 레거시 CRM을 Salesforce SaaS로 교체 D) 사용하지 않는 레거시 애플리케이션을 폐기

정답: B

설명: Replatform(Lift-Tinker-and-Shift)은 애플리케이션의 핵심 아키텍처는 유지하면서 클라우드의 관리 혜택을 활용하기 위해 최소한의 변경을 합니다. 자체 관리 MySQL → RDS MySQL은 코드 변경 없이 OS 패치, 백업, 고가용성을 AWS가 관리하는 대표적인 Replatform 사례입니다.

A) AWS Well-Architected Framework B) 마이그레이션 포트폴리오 평가 — 기술적 복잡성 vs. 비즈니스 가치 2x2 매트릭스 C) AWS Cost Calculator를 사용한 비용 비교 D) AWS Trusted Advisor 권고사항 목록

정답: B

설명: 마이그레이션 포트폴리오 평가에서는 각 애플리케이션을 기술적 복잡성(낮음/높음)과 비즈니스 가치(낮음/높음) 기준으로 2x2 매트릭스에 배치합니다. 복잡성이 낮고 비즈니스 가치가 높은 애플리케이션(Quick Wins)을 먼저 마이그레이션하고, 복잡성이 높고 가치가 낮은 것은 Retire를 고려합니다.

A) Compute Savings Plans가 항상 더 높은 할인을 제공한다 B) 3년 전액 선불 EC2 Standard RI가 특정 인스턴스 유형/리전/OS에 최대 72% 할인을 제공한다 C) On-Demand 인스턴스가 장기적으로 가장 경제적이다 D) 스팟 인스턴스가 항상 가장 낮은 비용이다

정답: B

설명: 최대 할인은 3년 전액 선불 EC2 Standard Reserved Instance로 최대 72% 절감이 가능합니다. Compute Savings Plans는 최대 66%, EC2 Instance Savings Plans는 최대 72%를 제공하지만 유연성이 더 높습니다. 워크로드가 안정적이고 인스턴스 유형 변경이 없다면 Standard RI가 최대 절감을 제공합니다.

A) 개발자들에게 수동으로 인스턴스를 시작/중지하도록 지시한다 B) AWS Instance Scheduler 또는 Lambda + EventBridge 규칙으로 인스턴스를 자동 시작/중지한다 C) Auto Scaling 최소 인스턴스 수를 0으로 설정한다 D) 인스턴스를 스팟 인스턴스로 전환한다

정답: B

설명: AWS Instance Scheduler 솔루션 또는 EventBridge(CloudWatch Events) 크론 규칙으로 Lambda를 트리거하여 인스턴스를 자동으로 시작/중지할 수 있습니다. 업무 시간(9시간/일, 5일/주 = 45시간)만 실행하면 전체 168시간 대비 약 73% 비용 절감이 가능합니다.

A) AWS Cost Explorer의 월별 비용 보고서 B) AWS Cost and Usage Report(CUR)를 S3에 저장하고 Athena 또는 QuickSight로 분석 C) CloudWatch 지표를 통한 서비스 사용량 집계 D) AWS Billing Dashboard의 PDF 청구서

정답: B

설명: AWS Cost and Usage Report(CUR)는 가장 상세한 비용 데이터(리소스 ID 수준, 시간별 사용량, 태그)를 제공합니다. S3에 저장된 CUR을 Athena로 SQL 쿼리하거나 QuickSight 대시보드로 시각화하면 정확한 차지백 보고서를 생성할 수 있습니다.

A) 전환 가능 RI는 더 높은 할인을 제공한다 B) 표준 RI는 1년만 약정 가능하고, 전환 가능 RI는 3년만 약정 가능하다 C) 전환 가능 RI는 약정 기간 중 인스턴스 유형, OS, 테넌시를 변경할 수 있지만 할인율이 낮고, 표준 RI는 높은 할인을 제공하지만 변경이 제한적이다 D) 전환 가능 RI는 Reserved Instance Marketplace에서 판매할 수 없다

정답: C

설명: 전환 가능 RI(Convertible RI)는 약정 기간 동안 인스턴스 패밀리, OS, 테넌시를 변경할 수 있는 유연성을 제공하는 대신 표준 RI보다 낮은 할인율(최대 54%)을 제공합니다. 표준 RI는 변경이 제한적이지만 더 높은 할인율(최대 72%)을 제공합니다.

A) 단일 스팟 인스턴스로 모든 작업을 실행 B) 체크포인팅 + 스팟 + 온디맨드 혼합 Auto Scaling 그룹으로, Spot Fleet이나 혼합 인스턴스 정책 사용 C) 스팟 인스턴스에 EBS 볼륨을 연결하고 종료 전 자동 스냅샷 D) 스팟 인스턴스를 예약 인스턴스로 교체

정답: B

설명: 중단 내성이 필요한 워크로드에는 온디맨드(최소 기본 용량) + 스팟(비용 절감 추가 용량)을 혼합하는 패턴이 적합합니다. AWS는 스팟 중단 2분 전 알림을 제공하므로 체크포인팅으로 작업 상태를 저장할 수 있습니다. Spot Fleet이나 EC2 Fleet을 사용하여 여러 인스턴스 유형과 가용 영역에 분산시켜 중단 위험을 줄입니다.

A) 각 계정이 동일한 AWS 리전에 있어야 한다 B) AWS Organizations의 통합 결제와 RI 공유가 활성화되어 있어야 한다 C) 모든 계정이 동일한 VPC에 연결되어 있어야 한다 D) 각 계정에서 별도로 RI를 구매해야 한다

정답: B

설명: AWS Organizations의 통합 결제에서 RI 공유(RI Sharing)가 활성화되면, 조직 내 모든 계정의 EC2 사용량이 합산되어 RI 할인이 자동으로 최적 배분됩니다. 한 계정에서 구매한 RI가 다른 계정의 사용량에도 할인으로 적용될 수 있습니다.

A) Multi-Site Active/Active — 두 리전에서 동시 운영 B) Warm Standby — 다른 리전에 축소된 규모의 운영 환경 유지 C) Backup and Restore — 다른 리전에 백업만 보관 D) Pilot Light — 다른 리전에 핵심 서비스만 최소 실행 상태 유지

정답: D

설명: RTO 30분, RPO 15분은 Pilot Light 전략으로 달성 가능합니다. Pilot Light는 핵심 데이터베이스(예: RDS)를 다른 리전에 복제하고, EC2 인스턴스는 AMI만 준비된 최소 상태로 유지합니다. 장애 시 AMI로 인스턴스를 시작하고 DNS를 전환합니다(30분 이내 가능). Warm Standby는 더 빠른 복구가 가능하지만 비용이 더 높습니다.

A) 사용한 만큼만 지불하고, 사용하지 않는 리소스는 제거한다 B) 모든 워크로드를 고정 용량으로 프로비저닝한다 C) 가장 비싼 서비스를 사용하여 성능을 최대화한다 D) 모든 데이터를 즉시 접근 가능한 스토리지에 보관한다

정답: A

설명: Well-Architected의 비용 최적화 소비 모델은 실제 사용량에 따라 비용을 지불하고, 사용하지 않는 리소스는 중지/삭제하는 클라우드 네이티브 접근 방식입니다. 온프레미스의 용량 계획(최대 부하에 맞춘 고정 프로비저닝)과 달리, 클라우드에서는 Auto Scaling, Serverless, 스팟 인스턴스 등으로 수요에 맞게 탄력적으로 운영합니다.

A) CloudFront는 데이터베이스 쿼리를 캐시하고, ElastiCache는 정적 파일을 캐시한다 B) CloudFront는 전 세계 엣지 로케이션에서 정적/동적 콘텐츠를 캐시하여 오리진 부하를 줄이고, ElastiCache(Redis/Memcached)는 애플리케이션 레이어의 데이터베이스 쿼리 결과를 캐시한다 C) 두 서비스는 동일한 역할을 하며 중복이다 D) CloudFront는 보안 서비스이고, ElastiCache는 로깅 서비스이다

정답: B

설명: CloudFront는 CDN으로 HTML, CSS, JS, 이미지, API 응답 등을 엣지에서 캐시하여 오리진 서버 부하를 줄이고 글로벌 사용자에게 빠른 응답을 제공합니다. ElastiCache(Redis/Memcached)는 애플리케이션 서버와 RDS 사이에서 빈번한 DB 쿼리 결과를 인메모리 캐시하여 DB 부하와 응답 지연을 줄입니다.

A) HRI는 단순 권고사항이므로 무시해도 된다 B) HRI를 즉시 수정하고, 개선 계획을 수립하여 마일스톤별로 진행 상황을 추적한다 C) AWS Support에 연락하여 AWS가 직접 수정하도록 요청한다 D) 현재 아키텍처를 완전히 재설계한다

정답: B

설명: Well-Architected Tool의 HRI는 아키텍처의 심각한 위험을 나타냅니다. HRI를 우선적으로 해결하고, 해결 계획(Improvement Plan)을 마일스톤으로 설정하여 진행 상황을 추적합니다. 모든 HRI를 즉시 수정할 수 없다면 위험 수용(Risk Acceptance) 또는 위험 완화(Risk Mitigation) 계획을 문서화합니다.

A) NAT 게이트웨이를 통해 모든 트래픽을 라우팅한다 B) S3와 DynamoDB에 대한 VPC 게이트웨이 엔드포인트를 생성한다 C) 전용 Direct Connect 링크를 S3와 DynamoDB에 구성한다 D) EC2 인스턴스에 퍼블릭 IP를 할당하고 인터넷을 통해 접근한다

정답: B

설명: S3와 DynamoDB에 대한 VPC 게이트웨이 엔드포인트는 무료로 제공되며, 트래픽이 퍼블릭 인터넷이나 NAT 게이트웨이를 경유하지 않고 AWS 내부 네트워크를 통해 전달됩니다. NAT 게이트웨이 데이터 처리 비용(GB당 요금)도 절감됩니다.

A) 전체 애플리케이션을 컨테이너로 마이그레이션 B) 자동화된 테스트(단위, 통합, E2E) 파이프라인을 구축하여 배포 전 품질을 자동 검증 C) 마이크로서비스 아키텍처로 즉시 전환 D) 블루/그린 배포를 위해 프로덕션 인프라를 두 배로 증설

정답: B

설명: CI/CD 개선에서 가장 기본적이고 중요한 것은 자동화된 테스트 파이프라인입니다. 단위 테스트 → 통합 테스트 → E2E 테스트를 자동화하면 배포 전에 버그를 조기 발견하고 수정할 수 있습니다. 이후 블루/그린, 카나리 배포 등 고급 배포 전략을 도입할 수 있습니다.

A) DynamoDB 테이블의 프로비저닝 용량을 단순히 늘린다 B) 파티션 키에 랜덤 접미사를 추가하여 데이터를 여러 파티션에 분산시키고, 읽기 시 집계한다 C) DynamoDB Streams를 활성화하여 데이터를 다른 서비스로 이전한다 D) GSI(글로벌 보조 인덱스)를 추가하여 쿼리를 분산한다

정답: B

설명: 핫 파티션(Hot Partition) 문제는 파티션 키 설계 문제입니다. 파티션 키에 랜덤 접미사(예: 1~10 중 하나)를 추가하면 데이터가 여러 파티션에 분산됩니다. 읽기 시에는 모든 접미사로 쿼리하고 결과를 집계(Scatter-Gather 패턴)합니다. DynamoDB DAX(Accelerator)를 추가하면 읽기 성능도 향상됩니다.

A) 즉시 Block 모드로 WAF를 배포한다 B) Count 모드로 WAF 규칙을 먼저 배포하여 트래픽을 차단하지 않고 일치하는 요청만 로깅한다 C) 개발 환경에서만 WAF를 테스트한다 D) AWS Shield Advanced를 먼저 활성화한다

정답: B

설명: WAF 규칙을 처음 도입할 때는 Count 모드로 배포하면 실제 트래픽을 차단하지 않고 어떤 요청이 규칙에 매칭되는지 로깅합니다. CloudWatch Logs를 분석하여 False Positive(정상 트래픽이 잘못 차단되는 경우)를 확인하고, 규칙을 조정한 후 Block 모드로 전환합니다.

A) S3 수명 주기 정책으로 30일 후 S3-IA로 전환, 90일 후 Glacier로 전환 B) S3 Intelligent-Tiering을 사용하여 액세스 패턴에 따라 자동 계층 이동 C) Lambda를 매일 실행하여 30일 이상 접근 없는 객체를 수동으로 이동 D) CloudFront를 사용하여 자주 접근되는 객체를 캐시

정답: B

설명: S3 Intelligent-Tiering은 액세스 패턴을 자동으로 모니터링하고 30일, 90일, 180일 기준으로 객체를 더 저렴한 계층으로 자동 이동합니다. 검색 비용 없이 계층 간 이동이 이루어집니다. 수명 주기 정책은 고정된 일수 기반이지만 Intelligent-Tiering은 실제 액세스 패턴 기반입니다.

A) 각 VPC에 VPN 게이트웨이를 설치하고 직접 연결 B) AWS Transit Gateway + 중앙 검사 VPC(AWS Network Firewall) + Transit Gateway 라우팅 테이블 C) VPC 피어링으로 모든 VPC를 보안 VPC와 연결 D) Security Group으로 모든 동-서 트래픽을 필터링

정답: B

설명: 허브-앤-스포크 보안 아키텍처에서 Transit Gateway가 중앙 허브 역할을 합니다. 보안 VPC에 AWS Network Firewall을 배포하고, Transit Gateway 라우팅 테이블을 사용하여 스포크 VPC 간 트래픽이 반드시 보안 VPC를 경유하도록 설정합니다. 이 패턴으로 중앙 집중식 보안 정책을 적용할 수 있습니다.

A) EC2 인스턴스의 CloudWatch 기본 메트릭으로 확인한다 B) Container Insights를 활성화하여 ECS 클러스터, 서비스, 태스크, 컨테이너 수준의 지표를 수집한다 C) ECS 태스크 정의에서 메모리 제한을 제거한다 D) AWS X-Ray를 사용하여 메모리 사용량을 추적한다

정답: B

설명: CloudWatch Container Insights는 ECS, EKS, Kubernetes에서 컨테이너 수준의 CPU, 메모리, 디스크, 네트워크 지표를 수집합니다. ECS 클러스터, 서비스, 태스크 정의 수준까지 드릴다운하여 메모리 사용량 패턴을 분석할 수 있습니다.

A) AWS 리전이 적절히 선택되었는지 확인 B) AWS X-Ray로 애플리케이션 요청 추적, CloudWatch 지표로 리소스 병목, VPC 네트워크 설정 검토 C) 인스턴스 유형을 즉시 업그레이드 D) 데이터베이스를 NoSQL로 마이그레이션

정답: B

설명: 마이그레이션 후 성능 저하는 여러 원인이 있을 수 있습니다. AWS X-Ray로 레이턴시 병목을 추적하고, CloudWatch로 CPU, 메모리, 네트워크 지표를 분석하고, VPC 설정(보안 그룹, 네트워크 ACL, DNS 확인)을 검토합니다. EBS 볼륨 유형(gp2 vs gp3, io1), 인스턴스 유형, RDS 파라미터 그룹도 확인해야 합니다.

A) Route 53 가중치 기반 라우팅 B) CloudFront 캐시 동작(Cache Behaviors)과 여러 오리진 설정 C) Application Load Balancer의 리스너 규칙 D) Lambda@Edge로 요청을 수동 라우팅

정답: B

설명: CloudFront 배포에 여러 오리진을 추가하고, 캐시 동작(Cache Behaviors)에서 URL 경로 패턴별로 다른 오리진으로 라우팅할 수 있습니다. /api/_ 패턴은 ELB 오리진으로, /static/_ 패턴은 S3 오리진으로 라우팅하는 설정이 가능합니다.

A) Aurora Multi-Master로 전환하여 쓰기를 분산한다 B) Aurora 읽기 전용 복제본 + Aurora 클러스터 엔드포인트 + RDS Proxy를 결합한다 C) Aurora를 DynamoDB로 마이그레이션한다 D) EC2에 직접 MySQL을 설치하고 읽기 복제본을 수동 관리한다

정답: B

설명: Aurora 읽기 전용 복제본은 읽기 부하를 분산합니다. Aurora 클러스터 읽기 엔드포인트는 여러 읽기 복제본 간 자동 로드 밸런싱을 제공합니다. RDS Proxy는 수백 개의 연결을 풀링하여 연결 수를 줄이고 오버헤드를 최소화합니다. 세 가지를 결합하면 최대 읽기 성능을 달성할 수 있습니다.

A) 단일 글로벌 S3 버킷에 모든 데이터를 저장하고 IAM으로 접근 제한 B) AWS Organizations SCP로 EU 사용자 데이터가 EU 리전 외부에 저장되는 것을 방지하고, CloudFront와 Route 53으로 지역 라우팅 C) 모든 데이터를 온프레미스에 보관하고 AWS는 컴퓨팅만 사용 D) CloudFront에서 지리 제한(Geo Restriction)만 설정

정답: B

설명: 데이터 레지던시 요구사항은 다층 접근이 필요합니다. SCP로 EU 리전 외부에서의 데이터 생성을 방지하고, Route 53 지리적 라우팅으로 EU 사용자를 EU 리전으로 라우팅하며, S3 버킷 정책으로 특정 리전에서만 데이터를 허용합니다. DynamoDB Global Tables의 경우 특정 리전만 활성화합니다.

A) EC2에 Hadoop을 설치하고 항상 운영 B) Amazon EMR을 사용하여 필요할 때만 트랜지언트 클러스터를 시작하고 결과를 S3에 저장 C) AWS Glue를 사용하여 모든 Hadoop 작업을 ETL로 변환 D) Amazon Redshift로 마이그레이션하여 쿼리 성능을 향상

정답: B

설명: EMR 트랜지언트(Transient) 클러스터는 작업 실행 시에만 클러스터를 시작하고 완료 후 자동 종료합니다. 데이터는 HDFS 대신 S3에 저장(EMR FS)하여 클러스터 종료 후에도 유지됩니다. 스팟 인스턴스를 워커 노드에 사용하면 비용을 70-90% 절감할 수 있습니다.

A) Lambda 함수의 메모리를 줄여 비용을 절감한다 B) AWS WAF를 API Gateway에 연결하고, API Gateway 사용 계획(Usage Plan)으로 요청 속도 제한을 설정한다 C) CloudFront를 제거하고 API Gateway를 직접 노출한다 D) Lambda 동시 실행 제한을 0으로 설정한다

정답: B

설명: API Gateway에 AWS WAF를 연결하면 SQL 인젝션, XSS, IP 차단 등의 규칙을 적용할 수 있습니다. API Gateway 사용 계획(Usage Plan)의 스로틀링 설정(RPS, 버스트 제한)으로 초과 요청을 차단합니다. AWS Shield Advanced를 추가하면 고급 DDoS 보호와 비용 보호를 받을 수 있습니다.

A) 각 계정에서 독립적으로 CloudTrail 로그를 분석한다 B) 모든 계정의 CloudTrail 로그를 중앙 보안 계정의 S3 버킷으로 집계하고, Athena로 쿼리하거나 SIEM으로 전송한다 C) Security Hub가 자동으로 모든 CloudTrail 로그를 통합 분석한다 D) 각 계정에 보안 팀 IAM 역할을 생성하여 직접 접근한다

정답: B

설명: 다중 계정 CloudTrail 통합은 Organizations CloudTrail을 사용하여 조직의 모든 계정에서 관리 이벤트를 자동 수집하고, 중앙 보안 계정의 S3 버킷으로 전달하는 것이 표준 패턴입니다. 중앙 S3 버킷에 Athena를 연결하거나, CloudWatch Logs, Splunk, Elastic 등의 SIEM으로 전송하여 보안 분석을 수행합니다.

A) AWS 서비스를 무료로 사용할 수 있다 B) Technical Account Manager(TAM), 비즈니스 크리티컬 장애에 15분 응답 시간(SLA), Well-Architected 검토 지원 C) 모든 AWS 서비스에 무제한 사용 보장 D) 프로덕션 환경의 자동 장애 복구

정답: B

설명: AWS Enterprise Support의 핵심 혜택은 전담 Technical Account Manager(TAM), 비즈니스/미션 크리티컬 장애에 15분 이내 응답(전화 지원), 연간 Well-Architected 프레임워크 검토, Trusted Advisor 전체 항목 확인, 운영 리뷰 등입니다.

A) Route 53 지리 근접성 라우팅으로 특정 국가 트래픽을 차단 B) CloudFront 지리 제한(Geo Restriction)으로 특정 국가에서의 접근을 차단 또는 허용 C) WAF IP 차단 목록으로 특정 국가의 IP를 모두 차단 D) 애플리케이션 레이어에서 사용자의 IP를 확인하고 리다이렉트

정답: B

설명: CloudFront 지리 제한(Geo Restriction 또는 Geo Blocking)은 국가 코드 기준으로 특정 국가의 접근을 차단(Blocklist) 또는 허용(Allowlist)합니다. CloudFront 엣지에서 처리되므로 오리진 서버에 도달하기 전에 차단됩니다. 차단된 사용자에게 403 Forbidden 또는 사용자 정의 오류 페이지를 반환합니다.

A) 클러스터의 모든 노드에 동일한 IAM 역할을 할당한다 B) IRSA(IAM Roles for Service Accounts)를 사용하여 Kubernetes 서비스 어카운트에 IAM 역할을 연결한다 C) 파드 내에서 AWS CLI configure로 자격 증명을 하드코딩한다 D) AWS Secrets Manager에 자격 증명을 저장하고 파드가 직접 가져온다

정답: B

설명: IRSA(IAM Roles for Service Accounts)는 Kubernetes 서비스 어카운트에 IAM 역할을 연결하여 해당 서비스 어카운트를 사용하는 파드만 지정된 AWS 서비스에 접근할 수 있게 합니다. 노드 수준의 IAM 역할 대신 파드 수준의 최소 권한을 구현하는 EKS 표준 패턴입니다.

A) 이벤트 전에 RDS 인스턴스 크기를 최대로 업그레이드하고 이벤트 후 다운그레이드 B) ElastiCache(Redis)로 자주 조회되는 상품/카테고리 데이터를 캐시하고, Aurora 읽기 복제본을 미리 추가하고, Aurora Serverless v2로 피크 시 자동 확장 C) 모든 DB 쿼리를 저장 프로시저로 최적화 D) 이벤트 기간에만 직접 온프레미스 DB와 연결

정답: B

설명: 예측 가능한 트래픽 급증(블랙 프라이데이)에 대비하는 다계층 전략입니다. ElastiCache로 읽기 부하의 80-90%를 캐시하고, Aurora 읽기 복제본을 미리 추가하여 DB 읽기를 분산합니다. Aurora Serverless v2는 피크 시 자동으로 ACU(Aurora Capacity Units)를 증가시킵니다. 이벤트 전 부하 테스트(Load Testing)도 필수입니다.

A) 전체 AWS 계정을 즉시 삭제한다 B) 의심스러운 IAM 자격 증명을 비활성화하고, CloudTrail과 GuardDuty 알림으로 최근 활동을 조사하고, VPC Flow Logs로 비정상적인 네트워크 활동을 확인한다 C) AWS Support에 연락하여 조사를 위임한다 D) 모든 EC2 인스턴스를 즉시 종료한다

정답: B

설명: 보안 침해 대응 절차: 1) 의심스러운 IAM 사용자/역할/키를 즉시 비활성화, 2) CloudTrail에서 해당 자격 증명의 최근 API 호출 분석, 3) GuardDuty 알림으로 위협 범위 파악, 4) VPC Flow Logs로 비정상적인 트래픽 확인, 5) 영향 받은 리소스 격리, 6) 루트 원인 분석 및 재발 방지 조치를 순서로 수행합니다.

A) CloudWatch 대시보드를 감사자에게 공유한다 B) AWS Config는 모든 리소스의 구성 변경 이력을 타임라인으로 기록하고, 특정 시점의 구성 스냅샷을 제공한다 C) CloudTrail 로그를 CSV로 내보내 감사자에게 제공한다 D) Systems Manager Inventory로 현재 구성 상태를 캡처한다

정답: B

설명: AWS Config는 지원되는 AWS 리소스의 구성 변경을 지속적으로 기록합니다. Config 타임라인에서 리소스가 어떤 구성에서 어떤 구성으로 언제 변경되었는지 전체 이력을 제공합니다. 특정 시점의 구성 스냅샷도 조회 가능합니다. 규정 준수 감사의 핵심 서비스입니다.

A) SQS Dead Letter Queue로 실패한 메시지를 전송한다 B) Kinesis 스트림 자체의 재시도 설정을 변경한다 C) Lambda 이벤트 소스 매핑(Event Source Mapping)에서 재시도 횟수, 이등분 재시도(bisect on error), 오류 시 목적지(Destination on Failure)를 설정한다 D) Lambda 함수 내에서 예외를 catch하고 수동으로 재처리한다

정답: C

설명: Lambda의 Kinesis 이벤트 소스 매핑에서 재시도 동작을 세밀하게 제어합니다. 재시도 횟수, 최대 레코드 만료 기간, 오류 시 배치를 이등분(bisect on function error)하여 실패한 레코드를 좁히는 기능, 그리고 처리 실패한 레코드를 SQS나 SNS로 보내는 오류 목적지(Destination)를 설정할 수 있습니다.

A) 두 업데이트 중 하나가 자동으로 롤백된다 B) DynamoDB는 Last Writer Wins(최종 쓰기 우선) 방식으로 충돌을 해결한다 C) 애플리케이션이 충돌을 감지하고 수동으로 병합해야 한다 D) 충돌이 발생하면 해당 아이템이 잠금 상태가 되어 읽기 전용이 된다

정답: B

설명: DynamoDB Global Tables는 각 리전에서의 업데이트를 타임스탬프와 함께 복제합니다. 동시 업데이트 충돌 시 "Last Writer Wins" — 즉 가장 최신 타임스탬프의 업데이트가 모든 리전에 전파됩니다. 이는 Eventual Consistency 모델입니다. 비즈니스 로직에서 충돌을 방지하거나 단일 리전에서 쓰기 작업을 수행하도록 설계해야 합니다.

A) Application Load Balancer B) Amazon API Gateway + AWS PrivateLink C) AWS Service Mesh(App Mesh) + Amazon API Gateway D) Transit Gateway

정답: C

설명: AWS App Mesh는 마이크로서비스 간의 통신을 제어하는 서비스 메쉬로, Envoy 프록시를 통해 트래픽 라우팅, 재시도, 회로 차단, 관찰성을 제공합니다. API Gateway는 외부 클라이언트에게 단일 진입점을 제공하고 버전 관리, 스로틀링, 인증을 처리합니다. 두 서비스를 결합하면 내부 서비스 통신(App Mesh) + 외부 API 관리(API Gateway)가 완성됩니다.

A) 프로덕션 배포 후 취약점을 수동으로 확인한다 B) Amazon ECR의 이미지 스캔(기본 스캔 또는 향상된 스캔)을 활성화하고, CodePipeline에서 스캔 결과를 확인하여 취약점이 있으면 배포를 중지한다 C) 오픈소스 Trivy를 EC2에 설치하여 수동 스캔한다 D) Docker Hub의 공식 이미지만 사용한다

정답: B

설명: Amazon ECR는 이미지 푸시 시 또는 주기적으로 자동 취약점 스캔을 제공합니다. 기본 스캔(CVE 데이터베이스 기반)과 향상된 스캔(Amazon Inspector 기반, 더 세밀한 CVE 탐지)을 선택할 수 있습니다. CodePipeline에서 ECR 스캔 결과를 확인하는 단계를 추가하여 HIGH/CRITICAL 취약점이 있는 이미지의 배포를 자동으로 차단합니다.

A) Direct Connect를 두 회선으로 이중화하는 것으로 충분하다 B) Direct Connect 이중화(두 개의 전용 회선 또는 파트너 연결) + Site-to-Site VPN 백업을 BGP 우선 경로로 설정 C) VPN만으로 백업하면 Direct Connect와 동일한 성능을 보장할 수 있다 D) 모든 데이터를 S3에 복제하여 Direct Connect 없이도 접근할 수 있게 한다

정답: B

설명: Direct Connect 고가용성을 위한 표준 패턴은 두 개의 물리적 회선(Direct Connect 이중화) + VPN 백업입니다. BGP 경로 우선순위(Local Preference, AS-PATH)를 설정하여 Direct Connect가 기본 경로로, VPN이 백업으로 동작하도록 구성합니다. Direct Connect 완전 이중화를 위해서는 두 다른 Direct Connect 로케이션을 사용해야 합니다.

A) S3 교차 리전 복제를 비활성화한다 B) S3 버킷 정책에 aws:RequestedRegion 조건을 사용하여 특정 리전에서의 요청만 허용하고, SCP로 다른 리전에 S3 버킷 생성을 방지한다 C) S3 버킷에 대한 CloudFront 배포를 비활성화한다 D) S3 ACL로 퍼블릭 접근을 차단한다

정답: B

설명: 데이터 레지던시 보장을 위해 S3 버킷 정책에서 aws:RequestedRegion 조건으로 특정 리전에서만 접근을 허용하고, AWS Organizations SCP로 허용된 리전 외에 S3 버킷이 생성되지 않도록 제한합니다. S3 버킷은 생성 시 리전이 고정되므로 SCP로 리전을 제한하면 데이터가 의도된 리전에만 저장됩니다.

A) 모든 서비스를 단일 계정에 배포한다 B) 전용 공유 서비스 계정을 OU에 생성하고, RAM(Resource Access Manager)이나 Direct Connect를 통해 다른 계정과 공유한다 C) 각 계정에 동일한 서비스를 복제 배포한다 D) 관리 계정에서 모든 공유 서비스를 운영한다

정답: B

설명: AWS Landing Zone 아키텍처에서 전용 "공유 서비스(Shared Services)" 계정을 분리합니다. Route 53 Resolver, AWS Directory Service, ECR, VPC Endpoint 등 공통 서비스를 이 계정에 배포하고, Transit Gateway 또는 RAM(Resource Access Manager)을 통해 다른 계정의 VPC와 공유합니다. 관리 계정은 결제와 Organizations 관리에만 사용하는 것이 모범 사례입니다.

A) 네트워크 대역폭 비용을 줄인다 B) EC2 인스턴스, Lambda 함수, EBS 볼륨, ECS 서비스에 대해 현재 사용 패턴 기반 최적 인스턴스 유형과 크기를 추천한다 C) S3 스토리지 비용을 자동으로 최적화한다 D) 예약 인스턴스와 Savings Plans를 자동 구매한다

정답: B

설명: AWS Compute Optimizer는 머신 러닝을 사용하여 EC2 인스턴스, Auto Scaling 그룹, EBS 볼륨, Lambda 함수, ECS 서비스의 실제 사용량 지표를 분석하고 과프로비저닝 또는 저프로비저닝된 리소스를 식별합니다. 비용과 성능을 균형 있게 최적화하는 인스턴스 유형/크기 변경 권고를 제공합니다.

A) S3 버킷에 SSL 인증서를 직접 설치한다 B) CloudFront 배포(ACM 인증서 + 사용자 정의 도메인) + S3 오리진 + Route 53 별칭 레코드 C) EC2 인스턴스에 Nginx를 설치하고 리버스 프록시로 S3에 연결한다 D) API Gateway를 S3 앞에 배치하여 HTTPS를 제공한다

정답: B

설명: S3 자체는 HTTPS를 직접 지원하지 않으므로 CloudFront를 앞에 배치합니다. ACM(AWS Certificate Manager)에서 무료 SSL/TLS 인증서를 발급하여 CloudFront에 연결하고, Route 53에서 사용자 정의 도메인을 CloudFront 배포의 별칭(Alias) 레코드로 설정합니다.

A) CloudWatch Logs Insights B) AWS X-Ray C) VPC Flow Logs D) CloudTrail

정답: B

설명: AWS X-Ray는 분산 애플리케이션의 요청 추적을 위한 서비스입니다. 각 요청에 대한 서비스 맵(Service Map)을 생성하여 마이크로서비스 간의 호출 흐름을 시각화하고, 레이턴시, 오류, 스로틀링을 분석합니다. Lambda, EC2, ECS, API Gateway, DynamoDB, SNS, SQS와 통합됩니다.

A) 항상 운영 중인 GPU 예약 인스턴스를 구매한다 B) Amazon SageMaker의 관리형 훈련 작업(Managed Training Jobs)을 사용하여 필요할 때만 스팟 GPU 인스턴스로 훈련하고, 체크포인트를 S3에 저장한다 C) 온프레미스 GPU 서버를 유지하고 AWS와 하이브리드로 운영한다 D) CPU 인스턴스로 훈련하여 GPU 비용을 회피한다

정답: B

설명: SageMaker 관리형 훈련은 훈련 중에만 인스턴스를 시작하고 완료 후 자동 종료합니다. SageMaker Managed Spot Training을 사용하면 스팟 인스턴스 가격으로 GPU 인스턴스를 사용하고(최대 90% 할인), 스팟 중단 시 체크포인트를 S3에서 자동 복구합니다. 훈련 완료 후 인스턴스가 자동 종료되어 유휴 비용이 없습니다.

A) Amazon EBS — 여러 인스턴스에 마운트하여 공유 B) Amazon EFS — 여러 EC2 인스턴스에서 동시에 마운트 가능한 완전 관리형 NFS C) Amazon S3 — POSIX 파일 시스템 인터페이스 제공 D) AWS FSx for Windows — 리눅스 EC2에 마운트

정답: B

설명: Amazon EFS(Elastic File System)는 NFSv4 프로토콜을 사용하는 완전 관리형 공유 파일 시스템입니다. 여러 EC2 인스턴스, 컨테이너, Lambda 함수에서 동시에 마운트하여 공유 파일 접근이 가능합니다. EBS는 단일 인스턴스에 연결(Multi-Attach는 제한적), S3는 파일 시스템 인터페이스가 아닙니다.

A) 별도의 AWS GovCloud 계정만 사용해야 한다 B) AWS와 BAA(Business Associate Agreement)를 체결하고, HIPAA 적합 서비스를 사용하며 PHI 데이터를 암호화한다 C) 모든 데이터를 CloudHSM에만 저장해야 한다 D) AWS는 HIPAA를 지원하지 않으므로 온프레미스만 사용해야 한다

정답: B

설명: AWS에서 HIPAA를 달성하려면 AWS와 Business Associate Agreement(BAA)를 체결해야 합니다. HIPAA 적합(Eligible) 서비스(EC2, S3, RDS, Lambda 등 다수)만 PHI(Protected Health Information) 처리에 사용하고, 저장 및 전송 중 데이터를 암호화하고, 접근 제어, 감사 로그, 사고 대응 절차를 구현해야 합니다.

A) 단일 RDS 데이터베이스에 고객 ID 컬럼으로 격리 B) 각 테넌트마다 별도의 AWS 계정을 프로비저닝하여 계정 수준 격리 C) VPC 내 보안 그룹으로 테넌트를 격리 D) DynamoDB 테이블에 파티션 키로 고객 ID를 사용하여 격리

정답: B

설명: 가장 강력한 테넌트 격리 모델은 테넌트당 별도 AWS 계정(Account-per-Tenant)입니다. 계정 경계는 네트워크, IAM, 리소스, 청구 모두에서 완전한 격리를 제공합니다. AWS Organizations로 테넌트 계정을 관리하고 Account Factory로 자동 프로비저닝합니다. 다만 비용이 높고 관리 복잡성이 증가합니다. 더 가벼운 격리가 필요한 경우 VPC per tenant 또는 namespace per tenant를 고려합니다.

A) 더 많은 EC2 인스턴스를 사용하여 처리 속도를 높인다 B) 불필요한 리소스를 제거하고, Graviton(ARM) 프로세서 기반 인스턴스를 사용하며, 서버리스와 컨테이너로 리소스 활용률을 높인다 C) 데이터를 여러 리전에 복제하여 지속 가능성을 높인다 D) 24시간 모든 인스턴스를 실행하여 Cold Start를 방지한다

정답: B

설명: AWS 지속 가능성 필라의 핵심은 리소스 효율화입니다. AWS Graviton 인스턴스는 x86 대비 동일 성능에 약 60% 적은 에너지를 사용합니다. 서버리스(Lambda, Fargate)와 컨테이너는 유휴 리소스를 제거하여 활용률을 높입니다. 불필요한 데이터 전송 최소화, 올바른 스토리지 티어 선택도 탄소 발자국 감소에 기여합니다.